CN114116059B

CN114116059B - 多级链式解压缩结构密码机的实现方法及密码计算设备

Info

Publication number: CN114116059B
Application number: CN202111418139.4A
Authority: CN
Inventors: 闫鸣生; 李国�; 马晓艳; 张钊; 孟小林
Original assignee: BEIJING JN TASS TECHNOLOGY CO LTD
Current assignee: BEIJING JN TASS TECHNOLOGY CO LTD
Priority date: 2021-11-26
Filing date: 2021-11-26
Publication date: 2023-08-22
Anticipated expiration: 2041-11-26
Also published as: CN114116059A

Abstract

本发明提供一种多级链式解压缩结构密码机的实现方法及密码计算设备，方法包括如下步骤：步骤S1、密码机类型初始化：从预设的多种密码机类型中选择一种密码机类型作为目的密码机，密码机根服务程序根据选择的结果，产生链式解压缩配置文件；步骤S2、执行链式解压缩处理：根据所述链式解压缩配置文件，对根压缩文件中被选择的密码机类型所对应的文件执行链式解压缩处理，并将解压缩文件放置到相应的目录中；链式解压缩处理完成后，所述链式解压缩配置文件被删除，密码机的状态转变为工作状态。其可以使得一台密码机，根据不同的密码机类型初始化，实现不同类型、不同应用的密码机及支持不同指令集密码机的自动产生流程。

Description

多级链式解压缩结构密码机的实现方法及密码计算设备

技术领域

本发明涉及密码应用领域，尤其涉及一种多级链式解压缩结构密码机的实现方法及密码计算设备。

背景技术

密码机的种类根据应用领域、应用目的不同，指令集的不同，主要的区别体现在：

1.密钥体系不同；

2.指令集不同；

3.管理模式和要求不同；

目前常用的三类密码机如下表：

种类	密钥体系	指令集、接口	管理模式
				金融密码机	雷卡密钥体系	金融服务指令集	本地、远程
服务器密码机	通用密钥体系	SDF、P11	本地管理
				签名验证服务密码机	PKI密钥体系	签名、验证指令集	本地、远程

事实上，还有很多类型的密码机，如时间戳服务器密码机、数据密码机、电力专用密码机、数据脱敏密码机等等。甚至，同一类密码机，不同行业使用也会有差异。如金融密码机的使用场景根据银行、保险、证券等应用场景不同，业务内容的不同，也会导致密码机的密钥体系、指令集及管理和使用方面的不同。

对于研发密码机的厂家而言，要生产各种不同的密码机，包括备货、发货、库存等都是很大的负担。对于用户而言，不同应用使用不同类型的密码机，当同一个用户使用多种业务，就需要采购、使用、备货多种不同的密码机，当业务需求发生变化需要调整时也会遇到麻烦。

由于这些不同的密码机硬件要求基本相同，操作系统OS也相同，主要区别是密码机内部应用软件层面的不同。生产厂家一般是准备好多个镜像文件，在密码机硬件上根据不同需求，使用不同的镜像文件进行安装，而生产不同类型甚至不同应用的密码机。

发明内容

基于此，本发明的目的在于提供一种多级链式解压缩结构密码机的实现方法及密码计算设备，其使得一台密码机，根据不同的密码机类型初始化，实现不同类型、不同应用的密码机。为实现上述目的，本发明的技术方案如下：

根据本发明的第一方面，本发明实施例提供了一种多级链式解压缩结构密码机的实现方法，包括如下步骤：

步骤S1、密码机类型初始化：

从预设的多种密码机类型中选择一种密码机类型作为目的密码机，密码机根服务程序根据选择的结果，产生链式解压缩配置文件；

步骤S2、执行链式解压缩处理：

根据所述链式解压缩配置文件，对根压缩文件中被选择的密码机类型所对应的文件执行链式解压缩处理，并将解压缩文件放置到相应的目录中；

链式解压缩处理完成后，所述链式解压缩配置文件被删除，密码机的状态转变为工作状态。

进一步，对根压缩文件中被选择的密码机类型所对应的文件执行链式解压缩处理，包括：

对根压缩文件中被选择的密码机类型所对应的文件进行解压缩得到第一级解压文件，第一级解压文件中包括第一压缩包；

对第一级解压文件中的第一压缩包进行解压缩得到第二级解压文件，并删除第一压缩包，第二级解压文件中包括第二压缩包；

依次类推，

直至对第K-1级解压文件中的第K-1压缩包进行解压缩得到第K级解压文件，并删除第K-1压缩包，其中，第K-1级解压文件包括第K-1压缩包，第K级解压文件中无压缩包；K为整数，K大于等于3。

更进一步，

第一压缩包的数量为一个或多个；

第二压缩包的数量为一个或多个；

以此类推，

第K-1压缩包的数量为一个或多个；K为整数，K大于等于3。

进一步，当K＝3时：

第一压缩包包含预设的多种密码机的应用程序，各种不同应用的预设密码机的应用程序按照链式架构分别包含在所属的第二级解压文件中；

第二压缩包包含所属应用的不同指令集对应的解析程序和对应的数据库，其压缩文件包含在第三级解压文件中。

更进一步，所述根压缩文件、第一压缩包、第二压缩包和第三压缩包均为被加密的密文，密钥为保存在密码卡内的厂商设备加密密钥,并且只有使用者通过身份认证后方可使用密码卡内的密钥；

对根压缩文件解密时，还需验证根压缩文件的版本信息、HASH值和签名信息是否正确，如不正确，则提示根压缩文件解密失败；如果验证通过，则进行对根压缩文件中被选择的密码机类型所对应的文件执行链式解压缩处理。

进一步，所述根压缩文件包含预设的多种类型密码机的压缩文件，每种类型密码机的压缩文件包括程序、所在目录、文件结构和密钥库。

进一步，密码机类型初始化需要首先进行身份认证，并正确输入授权码验证通过后方可进行；所述授权码由密码机序列号、密码机硬件统一码、根压缩文件版本号、授权信息中的一种或多种因素通过密码运算生成，并于通过比对使用者输入的内容来完成验证；所述密码运算采用HASH运算、HMAC运算、签名验证中的一种或多种密码运算。

进一步，当需要执行重新密码机类型初始化时，还包括恢复出厂状态的步骤，具体如下：

首先判断恢复出厂状态的请求是否通过管理员权限认证，如果通过，则进行恢复出厂初始化过程，恢复出厂初始化过程为删除、销毁目的密码机的密钥库，并清除目的密码机的文件架构、删除应用程序的文件及目录，并将配置文件变更为出厂初始值，完成后密码机状态恢复为出厂状态。

根据本发明的第二方面，本发明实施例提供了一种密码计算设备，包括密码卡、处理器、存储器、以及存储在所述存储器上并可被所述处理器执行的计算机程序，其中所述计算机程序被所述处理器执行时，实现上述各实施例中一个或多个所述方法的步骤。

本发明的有益效果是：采用将密码机的软件架构按照不同程序的高低分成若干层级，并通过分级链式解压缩的方式，逐级解压各级密码机程序架构及应用程序，即：通过密码机类型初始化的过程来完成用户实际使用的密码机类型、密码机应用及数据的软件安装与配置，最终生成用户指定的目的密码机。该链式分级解压缩的过程可以使得一台密码机，根据不同的密码机类型初始化，实现不同类型、不同应用的密码机及支持不同指令集密码机的自动产生流程。

附图说明

图1为本发明一多级链式解压缩结构密码机的实现方法执行链式解压缩处理示意图；

图2为图1所示执行链式解压缩处理对应的密码机的构架示意图；

图3为本发明一实施例的一种四级链式解压缩结构密码机的结构；

图4为本发明实施例提供的密码机三种状态的状态转移示意图：

图5为本发明实施例提供的密码计算设备的结构示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例对本发明的多级链式解压缩结构密码机的实现方法及密码计算设备进行进一步详细说明。需要说明的是，在不冲突的情况下，以下各实施例及实施例中的特征可以相互组合。应当理解，此处所描述的具体实施例仅用于解释本发明，并不用于限定本发明。

本发明一实施例的多级链式解压缩结构密码机的实现方法，包括如下步骤：

步骤S1、密码机类型初始化：

步骤S2、执行链式解压缩处理：

采用将密码机的软件架构按照不同程序的高低分成若干层级，并通过分级链式解压缩的方式，逐级解压各级密码机程序架构及应用程序，即：通过密码机类型初始化的过程来完成用户实际使用的密码机类型、密码机应用及数据的软件安装与配置，最终生成用户指定的目的密码机。该链式分级解压缩的过程可以使得一台密码机，根据不同的密码机类型初始化，实现不同类型、不同应用的密码机及支持不同指令集密码机的自动产生流程。

参照图1至图3，在本发明的一些实施例中，可选的，对根压缩文件中被选择的密码机类型所对应的文件执行链式解压缩处理，包括：

依次类推，

其中，

第一压缩包的数量为一个或多个；

第二压缩包的数量为一个或多个；

以此类推；

第K-1压缩包的数量为一个或多个，K大于等于3。

图1中，第一级解压文件的数量为多个，分别为第一级解压文件1、第一级解压文件2……第一级解压文件n,其中n为整数，n大于等于3；每一个第一级解压文件对应不同的密码机类型，也就是说，第一级解压文件1、第一级解压文件2……第一级解压文件n均对应不同的密码机类型。例如图3实例中，第一级解压文件1对应的是金融密码机，第一级解压文件2对应的是服务器密码机，第一级解压文件n对应的是签名验证密码机。

第一级解压文件1、第一级解压文件2……第一级解压文件n可作为第一压缩包，第一级解压文件1、第一级解压文件2……第一级解压文件n也可分别作为第一压缩包。

图1中，对第一级解压文件1中的第一压缩包进行解压缩得到第二级解压文件1.1……第二级解压文件1.m，m为整数，m大于等于1；

第二级解压文件1.1……第二级解压文件1.m可作为第二压缩包；第二级解压文件1.1……第二级解压文件1.m也可分别作为第二压缩包；

第二级解压文件n.1……第二级解压文件n.h可作为第二压缩包；第二级解压文件n.1……第二级解压文件n.h也可分别作为第二压缩包,h为整数，h大于等于1。

对第二级级解压文件中的第二压缩包进行解压缩得到第三级解压文件，即：第三级解压文件包含在第二压缩包中；

图1中，当K＝3时，第二级解压文件1.1进行解压缩得到第K级解压文件1.k,1……第K级解压文件1.k.p，p为整数，p大于等于1。图1中，q为整数，q大于等于1。

如图2所示，在本发明的一些实施例中，可选的，当K＝3时，第一压缩包包含预设的多种密码机的应用程序(应用类型)，各种不同应用的预设密码机的应用程序按照链式架构分别包含在所属的第二级解压缩文件中；

第二压缩包包含所属应用的不同指令集对应的解析程序和对应的数据库，其压缩文件包含在第三级解压缩文件中，是第二级所属众多指令集对应的程序和数据库中的一个子集。图2中,L为整数，L大于等于1。

第一级解压文件包含预设的密码机的框架文件，所述框架文件包括密码机的文件系统、密钥管理系统和密码服务单元文件；密码服务单元用于提供密码安全服务。

图3中，文件架构如下：

根级：包括Linux操作系统和根级文件。其中根级文件包括：根级服务程序和根级压缩密文文件。

第一级：根级压缩文件中包括如下三种密码机的框架文件：

·金融数据密码机

·服务器密码机

·签名验证密码机

框架文件包括密码机的文件系统、基本密钥管理系统和基本密码服务单元；

该压缩文件以密文形式保存在硬盘指定目录中，密钥在密码卡内部保存，因此，要加密该压缩文件，就需要启用该密码机内部的密码卡，而密码卡的使用则需要授权，本实例使用了密码机相配套的IC卡的外部认证授权机制。

第二级：包括各种密码机所需要的应用程序。各种不同应用的密码机按照链式架构分别包含在所属的第一级解压文件中；

第三级：包括所属应用的不同指令集对应的解析程序和对应的数据库。其压缩文件在第二级解压文件中，是第二级所属众多令集对应的程序和数据库中的一个子集。

相关的术语解释如下：

密码机：实现密码算法的专用设备；

服务器密码机：符合通用服务接口标准的密码机；

金融密码机：符合金融行业标准的密码机；

签名验证密码机：符合数字签名及数字签名验证标准的密码机。

以上采用分级解压流程：即根据配置初始化选定的目的密码机，产生解压缩配置文件，并根据配置文件的指示解压缩配置清单的链式流程，根据初始化的配置分级解压程序并执行；下级程序/数据压缩包包含在上一级压缩包中，未解压的程序不可见，更不可执行；同时，压缩文件也可以是被加密的密文，密钥保存在密码卡内。

在本发明的一些实施例中，可选的，所述根压缩文件、第一压缩包、第二压缩包和第三压缩包均为被加密的密文；密钥为保存在密码卡内的厂商设备加密密钥,并且只有使用者通过身份认证后方可使用密码卡内的密钥；

对根压缩文件解密时，需验证根压缩文件的版本信息、HASH值和签名信息是否正确，如不正确，则提示根压缩文件解密失败；如果验证通过，则进行对根压缩文件中被选择的密码机类型所对应的文件执行链式解压缩处理；

对压缩包解密时，可使用密码卡内保存的厂商设备解密密钥进行解密，数据的签名验证是通过密码卡内的预置厂商公钥来完成，各级压缩包的签名值是在生产过程中使用厂商私钥完成的。设备解密密钥使用的授权则是需要首先完成对使用者的授权(IC卡的外部认证来进行授权认证)的检验通过。

在本发明的一些实施例中，可选的，所述根压缩文件包含预设的多种类型密码机的压缩文件，每种类型密码机的压缩文件包括程序、所在目录、文件结构和密钥库。

在本发明的一些实施例中，可选的，密码机类型初始化需要正确输入授权码并验证通过后方可进行；所述授权码由密码机序列号、密码机硬件统一码、根压缩文件版本号、授权信息中的一种或多种因素通过密码运算得出。

授权码可由以下因素通过密码运算得出：

·密码机序列号(serial number)：不同密码机需不同的授权码，避免重复；

·密码机硬件统一码(hardware unit-code)：不同硬件密码机需不同的授权码，避免串机使用；

·根压缩文件版本号：不同根压缩文件版本支持不同目的密码机，高版本包含低版本；

·授权信息：用户权益的体现，根据付费或权益大小，可以是一种或多种甚至是全部的目的密码机授权码。

授权机制中包括多种因素，既保护用户权益，也防止串机、复制等非法使用，也更加安全。

所述授权码的密码运算包括但不限于HASH、HMAC、签名验证等密码运算。

优选的，每一种目的密码机的解压缩过程均需输入正确的授权码方可进行。

在本发明的一些实施例中，可选的，当需要执行重新密码机类型初始化时，还包括恢复出厂状态的步骤，具体如下：

首先判断恢复出厂状态的请求是否通过管理员权限认证，如果通过，则进行恢复出厂初始化过程，恢复出厂初始化过程为删除、销毁目的密码机的密钥库的数据和文件，并清除目的密码机的文件架构、删除应用程序的文件及目录，并将配置文件变更为出厂初始值，完成后密码机状态恢复为出厂状态。如果通不过管理员权限认证，则不进行恢复出厂初始化过程。

如图4所示，密码机有三种状态，分别为：出厂状态、解压缩状态及工作状态，分别表述如下：

三种状态的状态转移图如下：

出厂状态：

出厂状态开机后，不支持任何密码服务，仅可进行密码机类型初始化操作；经密码机类型初始化后，进入“解压缩状态”；

解压缩状态：

根据链式解压缩配置文件，逐级解压缩，解压缩完成后，自动进入“工作状态”。

工作状态：

工作状态可执行目的密码机所有操作，包括目的密码机初始化、密钥管理、密码机服务等；在工作状态，执行恢复出厂操作后，设备将恢复到“出厂状态”。

其中，

1.出厂状态基础文件：

a)操作系统(OS)

b)根服务文件、配置文件及根压缩文件，其中：

i.根服务文件：基础程序，可用于在出厂状态下执行“密码机类型初始化”操作，包括身份认证、数据解密及授权码的计算与对比验证；

ii.状态配置文件：当前密码机状态(出厂、解压缩、工作)；

iii.根压缩包：包含多种类型密码机的压缩文件，包括程序、所在目录、文件结构、密钥体系数据(密钥库)等；

iv.解压缩程序：根据解压缩配置文件的内容，执行解压缩操作；

2.解压缩状态：

a)各级解压缩过程序；

b)各级解压缩过程所需要的链式解压数据；

c)解压缩配置文件：密码机类型初始化选定后生产该文件，内容为加压缩层级、内容、目录等路径文件。解压缩完成后删除。

3.工作状态：

a)密码机应用程序、密码服务程序、密钥管理等程序；

b)密钥结构、相关密钥体系及密钥库；

实施例一

参照图3，一种四级链式解压缩结构密码机的结构如下：

密码机的文件架构主要由根级和包含了三级链式解压缩密文数据包结构组成。其中：

第一级(解压文件)：本实例根级压缩文件中包括如下三种密码机的框架文件：

·金融数据密码机

·服务器密码机

·签名验证密码机

该压缩文件以密文形式保存在硬盘指定目录中，密钥在密码卡内部保存，因此，要加密该压缩文件，就需要启用该密码机内部的密码卡，而密码卡的使用则需要授权，本实例使用了密码机相配套的IC卡授权机制。

第二级：包括各种密码机所需要的应用程序。各种不同应用的密码机按照链式架构分别包含在所属的第一级解压缩文件中；

第三级：包括所属应用的不同指令集对应的解析程序和对应的数据库、密钥库等。其压缩文件在第二级压缩文件中，是第二级所属众多令集对应的程序和数据库中的一个子集。

在出厂状态下，密码机上电后，首先启动操作系统，然后启动根级服务程序，该程序根据执行如下流程：

出厂状态，密码机仅可以进行密码机类型初始化，不支持其它密码服务；使用者需登录管理界面，进行密码机类型初始化设定。为举例方便，我们假定使用者选择了：IC卡金融应用密码机，即：金融数据密码机→银行应用→指令集A。

确认选择并在提示下，插入授权IC卡，并正确输入授权码后，根服务程序首先对压缩文件解密，然后进行如下链式解压缩流程：

1、根据用户选型，结合设备序列号、设备硬件信息后，检查输入授权码的正确性，如输入错误将提示使用者；如验证正确，进行下一步；

2.验证根压缩文件的版本、HASH值和签名信息是否正确，如不正确，提示使用者，如果验证通过，进行下一步；

3、第一级解压缩：使用一级密钥解密并解压根压缩文件中的金融数据密码机压缩包，创建金融数据密码机程序框架和主目录，复制文件和数据、银行服务压缩包；

4、第二级解压缩：使用二级密钥解密并解压缩银行服务压缩包，创建相应目录，解压应用服务程序和支撑数据、指令集A压缩包；并删除银行服务压缩包；

5、第三级解压缩：使用二级密钥解密并解压缩指令集A压缩包，并删除指令集A压缩包；

由于本实例没有下一级，即第三级解压缩是最后一级，因此，第三级解压缩完成后，会自动重新启动密码机；密码机重新启动后，由于安装了IC卡金融应用密码机的全部应用程序和数据，因此密码机进入工作状态；

至此，密码机的类型初始化完成，密码机进入工作状态，使用者在进行金融密码机初始化并导入密钥等内容后，可以执行IC卡金融的各种密码指令操作。

如果使用者由于业务发展需要，需要将该密码机转为其它应用的密码机，同时也具有授权码，则可以通过如下步骤来完成：

1.使用密码机管理工具，清除当前所有密钥；

2.使用密码机初始化工具恢复出厂状态，即删除IC卡金融应用密码机内除根级文件外的所有程序及数据；

3.重新进行密码机类型初始化，将该密码机初始化为使用者需要的目的密码机。

4.重新进行密码机类型初始化，通过链式解压缩方式，生成新类型或者其它类型、其它指令集的密码机。

以上密码机架构的特点是：

1.密码机类型初始化：当设备为未初始化状态时，密码机处于出厂状态，开机并启动OS及根服务后，仅支持密码机类型初始化操作，不支持任何其它密码服务；

2.密码机类型初始化的过程，即选择密码机的种类、应用类型、指令集及密钥体系等细节，密码机根服务程序根据选择的结果，产生链式解压缩配置文件；

3.密码机类型初始化后，将根据链式解压缩配置文件，逐级解压缩各级应用程序、指令集、支持服务及密钥库等文件，并将解压缩文件放置到相应的目录中；

4.解压缩完成后，链式解压缩配置文件被删除，同时密码机的状态将转变为工作状态。在工作状态下，支持使用者进行后续的应用密钥导入、密钥产生及该类型密码机支持各种指令集及密码服务；

后续每次开机，无需重新解压缩，而是像普通密码机一样，自动运行已经完成解压缩的各种服务及应用程序；

5.重新初始化：重新初始化的过程就是恢复出厂状态，经过管理员权限认证后可进行恢复出厂初始化过程。恢复出厂初始化过程为先删除、销毁密钥/体系，并清除目的密码机的文件架构、删除应用程序等文件及目录，并将配置文件变更为出厂值。完成后密码机状态恢复为出厂状态；

6.精细颗粒文件结构：不同类型密码机及不同应用密码机之间，有很多是相同的，如有些应用的差异仅仅是指令集不同，本专利的精细颗粒文件结构是通过在解压缩配置文件中，精确指定具体解压缩内容及放置的目的目录，使得压缩文件中不存在相同文件的重复压缩，以减少最终压缩文件的尺寸。而不是简单地按照各种不同类型密码机和用途密码机分类，简单生成多个镜像文件。

链式分级解压缩的过程可以使得一台密码机，根据不同的密码机类型初始化，实现不同类型、不同应用的密码机及支持不同指令集密码机的自动产生流程。各种不同类型的密码机所需的各种文件及所属的目录结构，均被保存在根压缩文件中，根据用户设置及生产厂家的授权，自动产生解压缩配置文件，并在解压缩状态下进行解压缩操作；解压缩操作将根据解压缩配置文件中的内容，逐级解压缩目的密码机所需的文件、数据，并存放至指定目录。

目的密码机是指最终形成的密码机，目的密码机包括密码机类型、应用类型、指令集、密钥架构等内容。也就是说，一台密码机可以根据使用者的设定(密码机类型初始化)来自动分级链式解压缩生成不同的目的密码机。一旦生成完成，就不会再改变，除非使用者重新进行出厂初始化及密码机类型初始化。

如图5所示，本发明还提供一种密码计算设备100，包括密码卡103、处理器101、存储器102、以及存储在存储器102上并可被所述处理器101执行的计算机程序，其中所述计算机程序被所述处理器101执行时，实现如上述的多级链式解压缩结构密码机的实现方法实施例的一个或多个过程，且能达到相同的技术效果，为避免重复，这里不再赘述。

本发明的实施例还提供一种计算机可读存储介质，包括指令，当所述指令在计算机运行时，使得计算机执行上述各方法实施例所提供的方法。上述实施例中的所有实现方式均适用于该实施例中，也能达到相同的技术效果。

在本发明所提供的几个实施例中，应该理解到，所揭露方法和装置，可以通过其它的方式实现。例如，以上所描述的系统实施例仅仅是示意性的，例如单元的划分，仅仅是一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性、机械或其它的形式。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理包括，也可以两个或两个以上单元集成在一个单元中。上述集成的单元可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

上述以软件功能单元的形式实现的集成的单元，可以存储在一个计算机可读存储介质中。上述软件功能单元存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述收发方法的部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read-Only-Memory，简称ROM)、随机存取存储器(Random Access Memory，简称RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上各实施例的多级链式解压缩结构密码机的实现方法、存储介质及密码计算设备，采用将密码机的软件架构按照不同程序的高低分成若干层级，并通过分级链式解压缩的方式，逐级解压各级密码机程序架构及应用程序，即：通过密码机类型初始化的过程来完成用户实际使用的密码机类型、密码机应用及数据的软件安装与配置，最终生成用户指定的目的密码机。该链式分级解压缩的过程可以使得一台密码机，根据不同的密码机类型初始化，实现不同类型、不同应用的密码机及支持不同指令集密码机的自动产生流程。

各种不同类型的密码机所需的各种文件及所属的目录结构，均被保存在根压缩文件中，根据用户设置及生产厂家的授权，自动产生解压缩配置文件，并在解压缩状态下进行解压缩操作；解压缩操作将根据解压缩配置文件中的内容，逐级解压缩目标密码机所需的文件、数据，并存放至指定目录。

一个包含多种类型密码机，每种类型密码机包含多种应用类型应用软件，每种应用类型、应用软件包含多种指令集被压缩为一个根压缩文件，该压缩文件使用厂家设置的密码机设备密钥保护的对称密钥加密保存。在授权的情况下，使用解密密钥对压缩文件进行解密，并通过密码机类型初始化的过程，通过不同的解压缩路径，并根据解压路径完成指定密码机的完全解压释放，其结果是得到实际应用所需要的、并符合特定应用的目的密码机。

以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，凡未脱离本发明技艺精神所作的等效实施方式或变更均应包含在本发明的保护范围之内。

Claims

1.一种多级链式解压缩结构密码机的实现方法，其特征在于，包括如下步骤：

步骤S1、密码机类型初始化：

步骤S2、执行链式解压缩处理：

链式解压缩处理完成后，所述链式解压缩配置文件被删除，密码机的状态转变为工作状态；

其中，对根压缩文件中被选择的密码机类型所对应的文件执行链式解压缩处理，包括：

依次类推，

直至对第K-1级解压文件中的第K-1压缩包进行解压缩得到第K级解压文件，并删除第K-1压缩包，其中，第K-1级解压文件包括第K-1压缩包，第K级解压文件中无压缩包；K为整数，K大于等于3；

当K=3时：

2.根据权利要求1所述的方法，其特征在于：

第一压缩包的数量为一个或多个；

第二压缩包的数量为一个或多个；

以此类推，

第K-1压缩包的数量为一个或多个；K为整数，K大于等于3。

3.根据权利要求1所述的方法，其特征在于，所述根压缩文件、第一压缩包、第二压缩包和第三压缩包均为被加密的密文，密钥为保存在密码卡内的厂商设备加密密钥,并且只有使用者通过身份认证后方可使用密码卡内的密钥；

4.根据权利要求1所述的方法，其特征在于，所述根压缩文件包含预设的多种类型密码机的压缩文件，每种类型密码机的压缩文件包括程序、所在目录、文件结构和密钥库。

5.根据权利要求1-4任一项所述的方法，其特征在于，密码机类型初始化需要首先进行身份认证，并正确输入授权码验证通过后方可进行；所述授权码由密码机序列号、密码机硬件统一码、根压缩文件版本号、授权信息中的一种或多种因素通过密码运算产生，并于通过比对使用者输入的内容来完成验证；所述密码运算采用HASH运算、HMAC运算、签名验证中的一种或多种密码运算。

6.根据权利要求1-4任一项所述的方法，其特征在于，当需要执行重新密码机类型初始化时，还包括恢复出厂状态的步骤，具体如下：

7.一种密码计算设备，其特征在于，包括密码卡、处理器、存储器、以及存储在所述存储器上并可被所述处理器执行的计算机程序，其中所述计算机程序被所述处理器执行时，实现如权利要求3所述方法的步骤。